FRAMEWORK · PCI-DSS v4.0

PCI-DSS v4.0.
Dla tych, którzy przetwarzają karty.

Jeśli Państwa firma przetwarza, przechowuje lub przesyła dane kart (fizyczne POS, e-commerce, terminale POS), PCI-DSS v4.0 jest obowiązkowy. Itamite pokrywa wymogi techniczne na endpointach (Req. 5, 6, 7, 8, 10, 11.5) z podpisanymi dowodami dla Państwa QSA.

Zobacz cennik Demo PCI-DSS

Poziomy PCI według wolumenu

Level 1: > 6 mln transakcji/rok. Roczny audyt QSA obowiązkowy + kwartalny skan ASV. Level 2: 1-6 mln transakcji. Roczny SAQ (Self Assessment Questionnaire) + kwartalny skan ASV. Level 3: 20 tys.-1 mln e-commerce. Roczny SAQ + kwartalny skan ASV. Level 4: < 20 tys. e-commerce lub < 1 mln łącznie. Roczny SAQ zalecany.

Kary za niezgodność: 5 000-100 000 USD/miesiąc w zależności od banku acquirera. W przypadku naruszenia: do 500 000 USD na zdarzenie + możliwe wykluczenie z przetwarzania kart.

WYMAGANIA PCI ↔ ITAMITE

Mapowanie punkt po punkcie

Req. 5 — Ochrona antymalware

Itamite stale weryfikuje: AV zainstalowany i działający (5.2.1), AV zaktualizowany <7 dni (5.2.2), AV skanuje automatycznie (5.2.3), brak możliwości wyłączenia przez użytkownika końcowego (5.2.5). Kompatybilny z CrowdStrike, SentinelOne, Defender, Sophos, ESET, Kaspersky.

Req. 6 — Bezpieczne systemy i aplikacje

Wykrywanie zaległych krytycznych poprawek (6.3.3), inwentarz oprogramowania z wersjami (6.2), alerty o oprogramowaniu po EOL, znane podatności CVE w wykrytym oprogramowaniu (6.2.4).

Req. 7 — Ograniczenie dostępu według funkcji

Wykrywanie lokalnych kont administratora i ich uzasadnienie (7.2), polityki najmniejszych uprawnień (7.2.2), okresowy przegląd dostępów (7.2.4). Integracja z AD/Azure AD dla scentralizowanego zarządzania.

Req. 8 — Identyfikacja i uwierzytelnianie

Polityka haseł (długość, złożoność, wygasanie — 8.3), MFA dla dostępu administracyjnego (8.4), wykrywanie nieaktywnych kont, wyłączone konto Guest. Pełny audyt logowań.

Req. 10 — Logowanie i monitorowanie

Niezmienialny audyt hash-chain całej aktywności administracyjnej (10.2), minimalna retencja 1 rok z 3 miesiącami natychmiast dostępnymi (10.5.1), synchronizacja czasu NTP (10.6), automatyczny dzienny przegląd logów (10.4.1).

Req. 11.5 — Wykrywanie nieautoryzowanych zmian

Itamite wykrywa zmiany w krytycznej konfiguracji każdego urządzenia, ostrzegając przed nieautoryzowanymi modyfikacjami (11.5.2). Polityki deklaratywne, które automatycznie cofają zmiany.

NAJCZĘSTSZE PYTANIA

Pytania o PCI-DSS

Czy Itamite jest zgodny z PCI-DSS?
Itamite NIE przechowuje danych kart (PAN, CVV itd.) jako taki. Dlatego zakres PCI samej platformy jest ograniczony. Stripe (nasz procesor płatności) ma PCI-DSS Level 1. Korzystanie z Itamite nie poszerza Państwa zakresu PCI, dopóki używają go Państwo wyłącznie do zarządzania IT.
Czy obejmuje kwartalny skan ASV?
Nie bezpośrednio. Skan ASV to zewnętrzny skan podatności webowych wykonywany przez Approved Scanning Vendor (Qualys, Tenable, Trustwave). Itamite jest komplementarny: pokrywa stan wewnętrzny endpointów, a nie skan perymetru.
A środowiska z fizycznymi POS?
Szczególnie użyteczne. Każdy terminal POS musi mieć agenta Itamite. Stale weryfikujesz: AV aktywny, poprawki na bieżąco, prawidłowa konfiguracja, brak nieautoryzowanego oprogramowania. Drastycznie redukuje ryzyko skimmingu/POS malware.
Czy raport Itamite jest ważny dla QSA?
Tak, jako dowód techniczny pokrytych wymagań. QSA i tak przeprowadzi własne weryfikacje. Itamite skraca czas audytu, dostarczając przygotowane i podpisane dowody.
O ile redukuje koszt audytu QSA?
W zależności od QSA i zakresu, typowo 20-40% redukcji godzin fakturowanych dzięki przygotowanym dowodom technicznym w bezpośrednim formacie. Niektórzy QSA już rekomendują swoim klientom narzędzia takie jak Itamite ze względu na sprawność procesu.

Nadchodzący audyt PCI-DSS?

Demo dostosowane do Państwa poziomu PCI z prawdziwym przypadkiem retail/e-commerce. Pokazujemy raport techniczny dla QSA.

Zobacz cennik Poproś o demo